Kriminelle Dark Web-Site abgeschaltet
2022-06-09
Viel mehr, als es der Normalbürger mitbekommt, stehlen kriminelle Hacker persönliche Daten und verkaufen sie dann im Dark Web. The Register berichtet aktuell von einer erfolgreichen Razzia des FBI, bei der ein solcher "Adress-Shop" zumindest teilweise abgeschaltet werden konnte: SSNDOB, eine Website, die mit gestohlenen persönlichen Daten handelte. Dazu wurden vier Domains von SSNDOB beschlagnahmt. Zu den auf SSNDOB verfügbaren personenbezogenen Daten gehörten E-Mail-Adressen, Passwörter, Kreditkartennummern, Sozialversicherungsnummern und mehr.
Domains einzukassieren, ist zwar sehr wirksam, um den darüber laufenden E-Mail-Verkehr komplett abgreifen zu können, was in Deutschland deshalb auch gerne im Rahmen des Marken- und Wettbewerbsrechts gemacht wird, um herauszufinden, was die "Konkurrenz" beruflich und privat denn so treibt. Die Kunden, die die gehackten Daten kaufen wollen, erreichen die Website nun zunächst schlechter, finanzielle Einbußen bei den Kriminellen sind also anzunehmen, die seit 2019 über 19 Mio. US-Dollar eingenommen haben dürften.
Allerdings wurden die eigentlichen Server mit den 24 Mio. gespeicherten Daten amerikanischer Bürger bislang nicht alle lokalisiert und abgeschaltet und mindestens eine weitere möglicherweise zu SSNDOB gehörende Domain ist aktuell noch erreichbar und aktiv, auch wenn das US-Justizministerium sagt, sie stehe nicht in Verbindung zu den abgeschalteten Domains.
Das Team hinter SSNDOB bot auch "Kundensupport" an und bewarb seine Dienste in diversen Foren, ebenfalls im Dark Web. Bezahlt wurde mit Bitcoin, die Server stehen in unterschiedlichen Ländern. Deshalb waren auch die lettische und zypriotische Polizei an der Operation beteiligt.
Die Schließung von SSNDOB ist ein weiterer Schritt in einer Reihe von Beschlagnahmen im Dark Web im vergangenen Jahr. Hydra, einer der am längsten bestehenden Dark-Web-Märkte, wurde vor kurzem durch eine koordinierte Aktion der US-amerikanischen und deutschen Strafverfolgungsbehörden vom Netz genommen, was zur Beschlagnahmung von 25 Mio. US-Dollar in Bitcoin führte.
"Identitätsdiebstahl kann verheerende Auswirkungen auf die langfristige emotionale und finanzielle Gesundheit der Opfer haben. Die Abschaltung der SSNDOB-Webseite hat die Kriminellen gestört und Millionen von Amerikanern geholfen, deren persönliche Daten kompromittiert wurden", so Darrell Waldon, IRS-CI Washington, D.C. Field Office.
Was hier den Ermittlern noch nicht gelungen ist, die kriminellen Datenverkäufer selbst zu ermitteln und dingfest zu machen, gelang in anderen Fällen. So mit einem ukrainischen kriminellen Hacker: Dieser wurde in den USA für vier Jahre hinter Gitter geschickt, nachdem er die Zugangsdaten zu 6700 kompromittierten Servern verkauft hatte. Oleksandr Ivanov-Tolpintsev, 28, wurde am 3. Oktober 2020 von polnischen Behörden in Korczowa, Polen, verhaftet und an die USA ausgeliefert. Er bekannte sich am 22. Februar schuldig und wurde vor einem Bundesbezirksgericht in Florida verurteilt. Das Gericht ordnete außerdem an, dass Ivanov-Tolpintsev aus Czernowitz (Ukraine) seine unrechtmäßig erworbenen Gewinne in Höhe von 82648 US-Dollar aus dem Diebstahl von Zugangsdaten abgeben muss.
In den Dokumenten der Staatsanwaltschaft [PDF] wird ein namenloser Dark-Web-Marktplatz beschrieben, auf dem Benutzernamen und Passwörter sowie persönliche Daten, darunter mehr als 330 000 Geburtsdaten und Sozialversicherungsnummern von US-Bürgern, illegal gekauft und verkauft wurden. Auf diesem Marktplatz wurden nach Angaben der Staatsanwaltschaft Details zu mehr als 700 000 "kompromittierten Servern" gehandelt, darunter mindestens 150 000 in den USA und 8.000 in Florida. Nachdem die Kriminellen die Zugangsdaten für diese Systeme erworben hatten, nutzten sie sie für alle möglichen illegalen Aktivitäten, darunter Steuerbetrug und Ransomware-Angriffe, so die Bundesanwaltschaft.
"Die Opfer kamen aus der ganzen Welt und aus verschiedenen Branchen, darunter lokale, bundesstaatliche und staatliche Infrastrukturen, Krankenhäuser, Notruf- und Rettungsdienste, Callcenter, große städtische Verkehrsbetriebe, Wirtschaftsprüfungs- und Anwaltskanzleien, Pensionsfonds und Universitäten", heißt es in der Einigung. "Auf dem Marktplatz wurden keine legitimen Geschäfte getätigt."
In den Dokumenten heißt es, dass die US-Strafverfolgungsbehörden Ende Januar 2019 die Domänennamen beschlagnahmt und die Infrastruktur abgebaut haben, wodurch er effektiv stillgelegt wurde, obwohl er nur als "Marktplatz" bezeichnet wird.
Iwanow-Tolpinzew kontrollierte ein Botnetz und verwendete Brute-Forcing-Malware, über die er prahlte, dass er jede Woche die Anmeldedaten von mindestens 2000 Computern knacken könne, so die Gerichtsdokumente.
DL2MCD